JP2005124055A - Defense device of network attack - Google Patents

Defense device of network attack Download PDF

Info

Publication number
JP2005124055A
JP2005124055A JP2003359379A JP2003359379A JP2005124055A JP 2005124055 A JP2005124055 A JP 2005124055A JP 2003359379 A JP2003359379 A JP 2003359379A JP 2003359379 A JP2003359379 A JP 2003359379A JP 2005124055 A JP2005124055 A JP 2005124055A
Authority
JP
Japan
Prior art keywords
address
packet
communication management
management table
recorded
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003359379A
Other languages
Japanese (ja)
Inventor
Masaru Katayama
勝 片山
Kohei Shiomoto
公平 塩本
Naoaki Yamanaka
直明 山中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003359379A priority Critical patent/JP2005124055A/en
Publication of JP2005124055A publication Critical patent/JP2005124055A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To discard an attack packet without deteriorating service quality to a legitimate user. <P>SOLUTION: When the packet of an IP address which is not recorded in a normal communication management table comes in, the packet is temporarily held in a self-device, the IP address is recorded in an attack possibility decision table and a reception confirmation packet is returned to the IP address. When the reception confirmation packet from a returning destination comes within a fixed time from return of the reception confirmation packet, the IP address is recorded in the normal communication management table, the IP address already recorded in the attack possibility decision table is deleted and the packet held in the self-device is transferred to a server. When a packet in which the IP address is recorded in the attack possibility decision table comes in, the packet is discarded. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

本発明は、クライアントとサーバとがネットワークを介して接続される通信システムに利用する。特に、悪意のクライアントがサーバの機能を麻痺させようとして行う攻撃に対する防御技術に関する。   The present invention is used in a communication system in which a client and a server are connected via a network. In particular, the present invention relates to a defense technique against an attack performed by a malicious client trying to paralyze the server function.

正常なTCP(Transmission Control Protocol)の通信手順を図14を参照して説明する。ネットワーク4を介してサーバ2とクライアント3とが接続されている。このときに、クライアント3からサーバ2に対してSYNパケットが送出されるとサーバ2からクライアント3に対してSYN−ACKパケットが返送される。これにより、クライアント3とサーバ2とは通信可能な状態となる。   A normal TCP (Transmission Control Protocol) communication procedure will be described with reference to FIG. A server 2 and a client 3 are connected via a network 4. At this time, if a SYN packet is transmitted from the client 3 to the server 2, a SYN-ACK packet is returned from the server 2 to the client 3. As a result, the client 3 and the server 2 become communicable.

次に、SYN攻撃と呼ばれるサーバのサービスを不能にさせる攻撃を図15を参照して説明する。図15に示すように、攻撃の特徴は、悪意のあるクライアント3は、SYNパケットをサーバ2に送り続け、正常な通信をしようとした正しい通信を妨げる。さらに、攻撃者は、自分のIPアドレスを詐称する場合がある。このとき、サーバ2はSYN−ACKパケットをSYNパケットを送信した悪意のあるクライアント3ではなく、詐称されたクライアントに送ることになる。詐称されたクライアントでは、自己が送出していないSYNパケットに対するSYN−ACKパケットの返送が繰り返し行われるので、自己が要求するSYNパケットを送出することができなくなるという異常事態に陥る。   Next, an attack called a SYN attack that disables the service of the server will be described with reference to FIG. As shown in FIG. 15, the characteristic of the attack is that the malicious client 3 continues to send the SYN packet to the server 2 to prevent correct communication to be performed normally. Furthermore, an attacker may spoof his / her IP address. At this time, the server 2 sends the SYN-ACK packet to the spoofed client, not the malicious client 3 that sent the SYN packet. Since the misrepresented client repeatedly returns the SYN-ACK packet for the SYN packet that is not sent by itself, the client is in an abnormal situation where the SYN packet requested by the client cannot be sent.

このような攻撃に対する従来の防御装置を図16を参照して説明する。従来のSYN攻撃に対する防御装置11は、攻撃SYNパケットと正常なSYNパケットとを区別せず、SYNパケットの伝送レートを測定し、設定された閾値以上の伝送レートのSYNパケットを全て廃棄していた(例えば、非特許文献1参照)。
“DDoS攻撃の防御対策について”、[online]、平成15年6月3日、警察庁技術対策課サイバーテロ対策技術室、[平成15年10月7日検索]、インターネット、<URL:http://www.cyberpolice.go.jp/server/virus/pdf/Strategies_to_Protect_Against_DDoS_Attacks.pdf> A conventional defense device against such an attack will be described with reference to FIG. The conventional defense device 11 against a SYN attack does not distinguish between an attack SYN packet and a normal SYN packet, measures the transmission rate of the SYN packet, and discards all SYN packets having a transmission rate equal to or higher than a set threshold. (For example, refer nonpatent literature 1).
“DDoS attack defense measures”, [online], June 3, 2003, National Police Agency Technology Countermeasures Cyber Terrorism Countermeasures Office, [October 7, 2003 Search], Internet, <URL: http: //www.cyberpolice.go.jp/server/virus/pdf/Strategies_to_Protect_Against_DDoS_Attacks.pdf>

このような従来の防御装置では、サーバは守れるが、正しい通信をするクライアントのSYNパケットまでも廃棄されてしまい、正当なクライアントに対するサービス品質が劣化する原因となる。   In such a conventional defense device, the server can be protected, but even the SYN packet of the client that performs correct communication is discarded, which causes the service quality of the legitimate client to deteriorate.

本発明は、このような背景に行われたものであって、正当なクライアントに対するサービス品質を劣化させず、攻撃パケットを廃棄することができる防御装置を提供することを目的とする。   The present invention has been made in such a background, and an object of the present invention is to provide a defense device capable of discarding an attack packet without degrading the quality of service for a legitimate client.

本発明は、セッションを確立しない攻撃に対し、正しい通信を行うものと攻撃をしかけているものとを区別可能であり、攻撃パケットのみを廃棄することを特徴とする。また、クライアントから到来したパケットのIPアドレスに対して受信確認パケットを返送するので、悪意のあるクライアントがIPアドレスを詐称した場合には、実際にパケットを送出していないクライアントに当該受信確認パケットが返送されることになる。したがって、以降の通信手順は確立せず、IPアドレスの詐称を見つけることができる。   The present invention is capable of distinguishing an attack that does not establish a session from a correct communication and an attack that is about to attack, and is characterized by discarding only attack packets. In addition, since the reception confirmation packet is returned to the IP address of the packet arriving from the client, when the malicious client spoofs the IP address, the reception confirmation packet is sent to the client that has not actually transmitted the packet. Will be returned. Therefore, the subsequent communication procedure is not established, and the spoofing of the IP address can be found.

すなわち、本発明の第一の観点は、ネットワークを介して相互に接続されるクライアントとサーバとの間に設けられ、クライアントからサーバに向けて送出されたパケットを監視する手段を備えたネットワーク攻撃の防御装置である。   That is, the first aspect of the present invention is a network attack that is provided between a client and a server that are connected to each other via a network and includes means for monitoring packets sent from the client to the server. It is a defense device.

ここで、本発明の特徴とするところは、前記監視する手段は、正常通信を行ったクライアントのIPアドレスを記録する正常通信管理テーブルと、この正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときにはそのIPアドレスを記録する攻撃可能性判断テーブルと、前記正常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、そのまま当該パケットを前記サーバに向けて通過させる手段と、前記正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときには、当該パケットを一時自装置内に保留し、そのIPアドレスを前記攻撃可能性判断テーブルに記録し、当該IPアドレス宛てに受信確認パケットを返送する手段と、この返送する手段による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来したときには、当該IPアドレスを前記正常通信管理テーブルに記録すると共に前記攻撃可能性判断テーブルに既に記録されている当該IPアドレスを削除し、自装置内に保留した前記パケットを前記サーバに転送する手段と、前記攻撃可能性判断テーブルにIPアドレスが記録されているパケットが到来したときには当該パケットを廃棄する手段とを備えたところにある(請求項1)。   Here, the present invention is characterized in that the monitoring means includes a normal communication management table that records the IP address of a client that has performed normal communication, and a packet with an IP address that is not recorded in the normal communication management table. An attack possibility determination table for recording the IP address when it arrives, a means for passing the packet as it is toward the server when a packet of the IP address recorded in the normal communication management table arrives, and the normal When a packet with an IP address that is not recorded in the communication management table arrives, the packet is temporarily held in its own device, the IP address is recorded in the attack possibility determination table, and a reception confirmation packet is sent to the IP address. Return means and return acknowledgment packet by this return means When an acknowledgment packet from the return destination arrives within a certain period of time, the IP address is recorded in the normal communication management table and the IP address already recorded in the attack possibility determination table is deleted. And means for transferring the packet held in its own device to the server, and means for discarding the packet when an IP address is recorded in the attack possibility determination table. (Claim 1).

これにより、疑わしいパケットと正当なパケットとを区別することができる。さらに、疑わしいパケットについては即座に廃棄することができる。   Thereby, a suspicious packet and a legitimate packet can be distinguished. In addition, suspicious packets can be discarded immediately.

また、前記正常通信管理テーブルのt1時間更新されていない記録を削除する手段と、前記攻撃可能性判断テーブルのt2時間更新されていない記録を削除する手段とを備え、
t1≦t2
であることが望ましい(請求項2)。 A means for deleting a record that has not been updated for t1 time in the normal communication management table; and a means for deleting a record that has not been updated for t2 time in the attack possibility determination table.
t1 ≦ t2
(Claim 2).

このように、正常通信管理テーブルの記録を定期的に削除するのは、正常通信を行ったIPアドレスのクライアントが恒常的に正常であるとは限らないからである。また、悪意のクライアントが他のクライアントのIPアドレスを詐称する場合もあり、過去に正常通信を行ったIPアドレスを用いて悪意のクライアントが攻撃を行うこともあり得る。このような場合を想定して正常通信管理テーブルの記録は定期的に削除することが望ましい。   The reason why the record of the normal communication management table is periodically deleted is that the client of the IP address that has performed normal communication is not always normal. In addition, a malicious client may misrepresent the IP address of another client, and a malicious client may attack using an IP address that has been normally communicated in the past. Assuming such a case, it is desirable to periodically delete the record of the normal communication management table.

さらに、攻撃可能性判断テーブルの記録についても定期的に削除し、記録内容をリフレッシュすることにより、各テーブルの記憶領域を有効に利用することができる。このときに、攻撃可能性判断テーブルの更新周期よりは正常通信管理テーブルの更新周期を短く設定することがよい。その理由は、前述したように、過去に正常通信を行っていたIPアドレスのクライアントが攻撃をしかけてくるクライアントに変質することもあり得るので、正常通信管理テーブルの更新は頻繁に行うことが安全である。これに対し、攻撃可能性判断テーブルに記録されている過去に攻撃をしかけてきたクライアントが正常なクライアントに変質する可能性は一般的に低いと考えられるので、攻撃可能性判断テーブルの方は、正常通信管理テーブルと比較して更新頻度は小さくてもよい。   Further, by periodically deleting the records of the attack possibility determination table and refreshing the recorded contents, the storage area of each table can be used effectively. At this time, it is preferable to set the update cycle of the normal communication management table shorter than the update cycle of the attack possibility determination table. The reason for this is that, as described above, the client with the IP address that has been performing normal communication in the past may be transformed into a client that attacks, so it is safe to update the normal communication management table frequently. It is. On the other hand, since it is generally considered unlikely that a client who has attacked in the past recorded in the attack possibility determination table will be transformed into a normal client, The update frequency may be smaller than that of the normal communication management table.

あるいは、本発明の前記監視する手段は、正常通信を行ったクライアントのIPアドレスを記録する正常通信管理テーブルと、異常通信を行ったクライアントのIPアドレスを記録する異常通信管理テーブルと、前記正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときにはそのIPアドレスを記録する攻撃可能性判断テーブルと、前記正常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、そのまま当該パケットを前記サーバに向けて通過させる手段と、前記異常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、当該パケットを廃棄する手段と、前記正常通信管理テーブルおよび前記異常通信管理テーブルに記録がないIPアドレスのパケットが到来したときには、当該パケットを一時自装置内に保留し、そのIPアドレスを前記攻撃可能性判断テーブルに記録し、当該IPアドレス宛てに受信確認パケットを返送する手段と、この返送する手段による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来したときには、当該IPアドレスを正常通信管理テーブルに記録すると共に前記攻撃可能性判断テーブルに既に記録されている当該IPアドレスを削除し、自装置内に保留した前記パケットを前記サーバに転送する手段と、前記返送する手段による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来しないときには、当該IPアドレスを前記異常通信管理テーブルに記録すると共に自装置内に保留した前記パケットを廃棄する手段とを備えたことを特徴とする(請求項3)。   Alternatively, the monitoring unit of the present invention includes a normal communication management table that records an IP address of a client that has performed normal communication, an abnormal communication management table that records an IP address of a client that has performed abnormal communication, and the normal communication. When a packet with an IP address not recorded in the management table arrives, an attack possibility determination table that records the IP address, and when a packet with an IP address recorded in the normal communication management table arrives, the packet is sent as it is. When a packet with an IP address recorded in the abnormal communication management table arrives, there is no record in the normal communication management table and the abnormal communication management table. When an IP address packet arrives The packet is temporarily held in its own apparatus, its IP address is recorded in the attack possibility determination table, a reception confirmation packet is returned to the IP address, and a reception confirmation packet is returned by the return means. When a reception confirmation packet from the return destination arrives within a certain period of time, the IP address is recorded in the normal communication management table and the IP address already recorded in the attack possibility determination table is deleted. When the reception confirmation packet from the return destination does not arrive within a predetermined time from the return of the reception confirmation packet by the means for transferring the packet held in its own device to the server and the return means, the IP address The packet whose address is recorded in the abnormal communication management table and held in its own device Characterized by comprising a means for discarding (claim 3).

このように、異常通信管理テーブルを設けることにより、過去に異常通信を行ったIPアドレスのクライアントからのパケットを速やかに廃棄することができる。   Thus, by providing the abnormal communication management table, it is possible to promptly discard packets from clients with IP addresses that have performed abnormal communication in the past.

また、前記異常通信管理テーブルに記録されたIPアドレスについては前記攻撃可能性判断テーブルから削除する手段と、前記正常通信管理テーブルのt1時間更新されていない記録を削除する手段と、前記異常通信管理テーブルのt3時間更新されていない記録を削除する手段とを備え、
t1≦t3
であることが望ましい(請求項4)。 A means for deleting the IP address recorded in the abnormal communication management table from the attack possibility determination table; a means for deleting a record that has not been updated for t1 time in the normal communication management table; and the abnormal communication management. Means for deleting records that have not been updated for t3 time in the table,
t1 ≦ t3
(Claim 4).

すなわち、異常通信管理テーブルおよび攻撃可能性判断テーブルにおける記録の重複は無意味であり、このような重複を回避し、攻撃可能性判断テーブルを有効に利用することができる。   That is, duplication of records in the abnormal communication management table and the attack possibility determination table is meaningless. Such duplication can be avoided and the attack possibility determination table can be used effectively.

また、異常通信管理テーブルの更新周期よりは正常通信管理テーブルの更新周期を短く設定することがよい。その理由は、前述したように、過去に正常通信を行っていたIPアドレスのクライアントが攻撃をしかけてくるクライアントに変質することもあり得るので、正常通信管理テーブルの更新は頻繁に行うことが安全である。これに対し、異常通信管理テーブルに記録されている過去に攻撃をしかけてきたクライアントが正常なクライアントに変質する可能性は一般的に低いと考えられるので、異常通信管理テーブルの方は、正常通信管理テーブルと比較して更新頻度は小さくてもよい。   Further, it is preferable to set the update cycle of the normal communication management table shorter than the update cycle of the abnormal communication management table. The reason for this is that, as described above, the client with the IP address that has been performing normal communication in the past may be transformed into a client that attacks, so it is safe to update the normal communication management table frequently. It is. On the other hand, it is generally considered unlikely that a client who has attacked in the past recorded in the abnormal communication management table will be transformed into a normal client. The update frequency may be smaller than that of the management table.

また、前記攻撃可能性判断テーブルは、前記正常通信管理テーブルもしくは前記異常通信管理テーブルのいずれかに含まれるように構成してもよい(請求項5)。   The attack possibility determination table may be included in either the normal communication management table or the abnormal communication management table.

例えば、攻撃可能性判断テーブルの記録内容は、異常通信管理テーブルに記録された時点で削除されるようにしておけば、攻撃可能性判断テーブルは、一時的な記録だけで済む。すなわち、他のテーブルと比較すると記憶容量は小さくてよい。したがって、攻撃可能性判断テーブルは、他のいずれかのテーブルの一部の記憶領域を割当てることにより実現することができる。これにより、メモリ構成を簡単化することができる。   For example, if the recorded content of the attack possibility determination table is deleted when it is recorded in the abnormal communication management table, the attack possibility determination table need only be temporarily recorded. That is, the storage capacity may be small compared to other tables. Therefore, the attack possibility determination table can be realized by allocating a partial storage area of any other table. Thereby, the memory configuration can be simplified.

本発明の第二の観点は、情報処理装置にインストールすることにより、その情報処理装置に、ネットワークを介して相互に接続されるクライアントとサーバとの間に設けられ、クライアントからサーバに向けて送出されたパケットを監視する機能を備えたネットワーク攻撃の防御装置に相応する機能を実現させるプログラムである。   According to a second aspect of the present invention, when installed in an information processing apparatus, the information processing apparatus is provided between a client and a server connected to each other via a network, and is transmitted from the client to the server. It is a program that realizes a function corresponding to a network attack defense device having a function of monitoring received packets.

ここで、本発明の特徴とするところは、前記監視する機能として、正常通信を行ったクライアントのIPアドレスを記録する正常通信管理テーブルに相応する機能と、この正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときにはそのIPアドレスを記録する攻撃可能性判断テーブルに相応する機能と、前記正常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、そのまま当該パケットを前記サーバに向けて通過させる機能と、前記正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときには、当該パケットを一時自装置内に保留し、そのIPアドレスを前記攻撃可能性判断テーブルに記録し、当該IPアドレス宛てに受信確認パケットを返送する機能と、この返送する機能による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来したときには、当該IPアドレスを前記正常通信管理テーブルに記録すると共に前記攻撃可能性判断テーブルに既に記録されている当該IPアドレスを削除し、自装置内に保留した前記パケットを前記サーバに転送する機能と、前記攻撃可能性判断テーブルにIPアドレスが記録されているパケットが到来したときには当該パケットを廃棄する機能とを実現させるところにある(請求項6)。   Here, the feature of the present invention is that the monitoring function includes a function corresponding to a normal communication management table that records the IP address of a client that has performed normal communication, and an IP that is not recorded in the normal communication management table. A function corresponding to an attack possibility determination table that records an IP address when a packet of an address arrives, and when a packet of an IP address recorded in the normal communication management table arrives, the packet is directly directed to the server. When a packet with an IP address that is not recorded in the normal communication management table arrives, the packet is temporarily held in the own device, and the IP address is recorded in the attack possibility determination table. A function for returning a reception confirmation packet to an IP address, and a function for returning the packet. When a reception confirmation packet arrives from the return destination within a certain period of time after the return of the reception confirmation packet, the IP address is recorded in the normal communication management table and already recorded in the attack possibility determination table. A function of deleting the IP address in question and transferring the packet held in the own device to the server, and a function of discarding the packet when an IP address is recorded in the attack possibility determination table (Claim 6).

また、前記正常通信管理テーブルのt1時間更新されていない記録を削除する機能と、前記攻撃可能性判断テーブルのt2時間更新されていない記録を削除する機能とを実現させ、
t1≦t2
であることが望ましい(請求項7)。 A function of deleting a record that has not been updated for t1 time in the normal communication management table and a function of deleting a record that has not been updated for t2 time in the attack possibility determination table;
t1 ≦ t2
(Claim 7).

あるいは、本発明のプログラムは、前記監視する機能として、正常通信を行ったクライアントのIPアドレスを記録する正常通信管理テーブルに相応する機能と、異常通信を行ったクライアントのIPアドレスを記録する異常通信管理テーブルに相応する機能と、前記正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときにはそのIPアドレスを記録する攻撃可能性判断テーブルに相応する機能と、前記正常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、そのまま当該パケットを前記サーバに向けて通過させる機能と、前記異常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、当該パケットを廃棄する機能と、前記正常通信管理テーブルおよび前記異常通信管理テーブルに記録がないIPアドレスのパケットが到来したときには、当該パケットを一時自装置内に保留し、そのIPアドレスを前記攻撃可能性判断テーブルに記録し、当該IPアドレス宛てに受信確認パケットを返送する機能と、この返送する機能による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来したときには、当該IPアドレスを正常通信管理テーブルに記録すると共に前記攻撃可能性判断テーブルに既に記録されている当該IPアドレスを削除し、自装置内に保留した前記パケットを前記サーバに転送する機能と、前記返送する機能による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来しないときには、当該IPアドレスを前記異常通信管理テーブルに記録すると共に自装置内に保留した前記パケットを廃棄する機能とを実現させることを特徴とするプログラムである(請求項8)。   Alternatively, the program according to the present invention includes a function corresponding to a normal communication management table that records the IP address of a client that has performed normal communication and an abnormal communication that records the IP address of a client that has performed abnormal communication as the monitoring function. A function corresponding to a management table, a function corresponding to an attack possibility determination table for recording an IP address packet not recorded in the normal communication management table, and a function corresponding to an attack possibility determination table for recording the IP address are recorded in the normal communication management table. A function of passing the packet as it is toward the server when the packet of the IP address arrives, a function of discarding the packet when a packet of the IP address recorded in the abnormal communication management table arrives, The normal communication management table and the abnormal communication pipe When a packet with an IP address not recorded in the table arrives, the packet is temporarily held in its own device, the IP address is recorded in the attack possibility determination table, and a reception confirmation packet is returned to the IP address. Function, and when a reception confirmation packet from the return destination arrives within a predetermined time after the return of the reception confirmation packet by the return function, the IP address is recorded in the normal communication management table and the possibility of attack is determined. The function deletes the IP address already recorded in the table, transfers the packet held in its own device to the server, and returns it within a certain period of time after returning the reception confirmation packet by the returning function. When the reception confirmation packet from the destination does not arrive, the IP address is passed through the abnormal communication. Is a program for causing and a function of discarding the packets held in its own apparatus and records the management table (claim 8).

また、前記異常通信管理テーブルに記録されたIPアドレスについては前記攻撃可能性判断テーブルから削除する機能と、前記正常通信管理テーブルのt1時間更新されていない記録を削除する機能と、前記異常通信管理テーブルのt3時間更新されていない記録を削除する機能とを実現させ、
t1≦t3
であることが望ましい(請求項9)。 A function for deleting the IP address recorded in the abnormal communication management table from the attack possibility determination table; a function for deleting a record that has not been updated for t1 time in the normal communication management table; and the abnormal communication management. Realizing the function of deleting records that have not been updated for t3 time in the table,
t1 ≦ t3
(Claim 9).

また、前記攻撃可能性判断テーブルは、前記正常通信管理テーブルもしくは前記異常通信管理テーブルのいずれかに含まれることができる(請求項10)。   Further, the attack possibility determination table can be included in either the normal communication management table or the abnormal communication management table.

本発明の第三の観点は、本発明のプログラムが記録された前記情報処理装置読取可能な記録媒体である(請求項11)。本発明のプログラムは本発明の記録媒体に記録されることにより、前記情報処理装置は、この記録媒体を用いて本発明のプログラムをインストールすることができる。あるいは、本発明のプログラムを保持するサーバからネットワークを介して直接前記情報処理装置に本発明のプログラムをインストールすることもできる。   A third aspect of the present invention is a recording medium readable by the information processing apparatus on which the program of the present invention is recorded (claim 11). By recording the program of the present invention on the recording medium of the present invention, the information processing apparatus can install the program of the present invention using this recording medium. Alternatively, the program of the present invention can be directly installed on the information processing apparatus via a network from a server holding the program of the present invention.

これにより、汎用の情報処理装置を用いて、正当なクライアントに対するサービス品質を劣化させず、攻撃パケットを廃棄することができるネットワーク攻撃の防御装置を実現することができる。   Accordingly, it is possible to realize a network attack defense device capable of discarding attack packets without degrading service quality for a legitimate client using a general-purpose information processing device.

本発明によれば、正当なクライアントに対するサービス品質を劣化させず、攻撃パケットを廃棄することができる。   According to the present invention, attack packets can be discarded without degrading service quality for a legitimate client.

(第一実施例)
第一実施例を図1ないし図5を参照して説明する。図1は防御装置に到来したSYNパケットのIPアドレスが正常通信管理テーブルに記録されていた場合の処理を示す図である。図2は防御装置に到来したSYNパケットのIPアドレスが正常通信管理テーブルに記録されていない場合の処理を示す図である。図3は防御装置に到来したSYNパケットのIPアドレスのクライアントが攻撃をしかけるクライアントである場合の処理を示す図である。図4は防御装置に到来したSYNパケットのIPアドレスが攻撃可能性判断テーブルに記録されている場合の処理を示す図である。図5は正常通信管理テーブルと攻撃可能性判断テーブルとの配置関係を示す図である。 (First Example)
A first embodiment will be described with reference to FIGS. FIG. 1 is a diagram showing processing when the IP address of a SYN packet that has arrived at the defense device is recorded in the normal communication management table. FIG. 2 is a diagram showing processing when the IP address of the SYN packet that has arrived at the defense device is not recorded in the normal communication management table. FIG. 3 is a diagram showing processing in a case where the client of the IP address of the SYN packet that has arrived at the defense device is a client that attacks. FIG. 4 is a diagram illustrating a process when the IP address of the SYN packet that has arrived at the defense device is recorded in the attack possibility determination table. FIG. 5 is a diagram showing an arrangement relationship between the normal communication management table and the attack possibility determination table.

第一実施例は、ネットワーク4を介して相互に接続されるクライアント3とサーバ2との間に設けられ、クライアント3からサーバ2に向けて送出されたSYNパケットを監視する手段を備えたネットワーク攻撃の防御装置1である。   The first embodiment is a network attack that is provided between a client 3 and a server 2 connected to each other via a network 4 and includes means for monitoring a SYN packet sent from the client 3 to the server 2 This is a defense device 1 of FIG.

ここで、第一実施例の特徴とするところは、前記監視する手段は、正常通信を行ったクライアントのIPアドレスを記録する正常通信管理テーブル10と、この正常通信管理テーブル10に記録がないIPアドレスのパケットが到来したときにはそのIPアドレスを記録する攻撃可能性判断テーブル20と、正常通信管理テーブル10に記録されたIPアドレスのパケットが到来したときには、そのまま当該パケットをサーバ2に向けて通過させる手段と、正常通信管理テーブル10に記録がないIPアドレスのパケットが到来したときには、当該パケットを一時自装置内に保留し、そのIPアドレスを攻撃可能性判断テーブル20に記録し、当該IPアドレス宛てにSYN−ACKパケットを返送する手段と、この返送する手段によるSYN−ACKパケットの返送から一定時間経過する内に当該返送先からのACKパケットが到来したときには、当該IPアドレスを正常通信管理テーブル10に記録すると共に攻撃可能性判断テーブル20に既に記録されている当該IPアドレスを削除し、自装置内に保留した前記パケットをサーバ2に転送する手段と、攻撃可能性判断テーブル20にIPアドレスが記録されているパケットが到来したときには当該パケットを廃棄する手段とを備えたところにある(請求項1)。   Here, the first embodiment is characterized in that the monitoring means includes a normal communication management table 10 that records the IP address of a client that has performed normal communication, and an IP that is not recorded in the normal communication management table 10. When an address packet arrives, the attack possibility determination table 20 for recording the IP address and the IP address packet recorded in the normal communication management table 10 pass the packet as it is toward the server 2. When a packet with an IP address not recorded in the normal communication management table 10 arrives, the packet is temporarily held in the own device, and the IP address is recorded in the attack possibility determination table 20 and addressed to the IP address. Means for returning a SYN-ACK packet to the receiver, and SY by this means for returning -When an ACK packet from the return destination arrives within a certain period of time after the return of the ACK packet, the IP address is recorded in the normal communication management table 10 and is already recorded in the attack possibility determination table 20 Means for deleting the IP address and transferring the packet held in its own device to the server 2, and means for discarding the packet when the packet whose IP address is recorded in the attack possibility determination table 20 arrives (Claim 1).

また、正常通信管理テーブル10のt1時間更新されていない記録を削除する手段と、攻撃可能性判断テーブル20のt2時間更新されていない記録を削除する手段とを備え、
t1≦t2
である(請求項2)。 And a means for deleting a record that has not been updated for t1 time in the normal communication management table 10, and a means for deleting a record that has not been updated for t2 time in the attack possibility determination table 20.
t1 ≦ t2
(Claim 2).

以下では、第一実施例を詳細に説明する。   Hereinafter, the first embodiment will be described in detail.

図1に示すように、サーバ2とネットワーク4を介して接続されたクライアント3との間に本実施例の防御装置1が挿入されている。第一実施例では、クライアント3からサーバ2に向かってSYNパケットが来たら、防御装置1が過去の正しい通信を行っているIPアドレスから来ているか否か判断する。このために、正常通信管理テーブル10を備えており、到来するSYNパケットのIPアドレスと正常通信管理テーブル10に記録された過去のIPアドレスとを比較する。   As shown in FIG. 1, the defense device 1 of this embodiment is inserted between a server 2 and a client 3 connected via a network 4. In the first embodiment, when a SYN packet arrives from the client 3 to the server 2, it is determined whether or not the defense device 1 is from an IP address that has performed correct communication in the past. For this purpose, the normal communication management table 10 is provided, and the IP address of the incoming SYN packet is compared with the past IP address recorded in the normal communication management table 10.

図1に示すように、クライアント3からサーバ2宛てに送出されたSYNパケットを防御装置1が受け取ると、正常通信管理テーブル10を検索し、過去に正しい通信を行っているIPアドレスから来ているSYNパケットであれば、当該SYNパケットをそのままサーバ2に転送する。当該SYNパケットに対するSYN−ACKパケットはサーバ2から返送される。   As shown in FIG. 1, when the defense device 1 receives a SYN packet sent from the client 3 to the server 2, it searches the normal communication management table 10 and comes from an IP address that has performed correct communication in the past. If it is a SYN packet, the SYN packet is transferred to the server 2 as it is. A SYN-ACK packet corresponding to the SYN packet is returned from the server 2.

図2に示すように、防御装置1に到来したSYNパケットが正常通信管理テーブル10にIPアドレスがないSYNパケットならば、攻撃可能性判断テーブル20に発信元IPアドレスを登録し、発信元IPアドレスに防御装置1からSYN−ACKパケットを返送する。   As shown in FIG. 2, if the SYN packet arriving at the defense device 1 is a SYN packet that does not have an IP address in the normal communication management table 10, the source IP address is registered in the attack possibility determination table 20, and the source IP address The SYN-ACK packet is returned from the defense device 1 to the network.

ここで、一定時間内にクライアント3からACKパケットが来た場合には、当該IPアドレスのクライアント3は、正常なクライアントであることがわかるので、攻撃可能性判断テーブル20から発信元IPアドレスを削除すると共に、正常通信管理テーブル10に発信元IPアドレスを登録し、SYNパケットをサーバ2に送信する。サーバ2からは改めて当該SYNパケットに対するSYN−ACKパケットがクライアント3に返送される。   Here, if an ACK packet is received from the client 3 within a certain time, it is known that the client 3 of the IP address is a normal client, so the source IP address is deleted from the attack possibility determination table 20 At the same time, the source IP address is registered in the normal communication management table 10 and the SYN packet is transmitted to the server 2. The server 2 returns a SYN-ACK packet for the SYN packet to the client 3 again.

図3に示すように、正常通信管理テーブル10にIPアドレスがないSYNパケットに対して防御装置1からSYN−ACKパケットを返送した場合に、ACKパケットが一定時間以内に来なかった場合には、攻撃可能性有りと判断でき、SYNパケットをサーバ2に送信せずに廃棄する。また、攻撃可能性判断テーブル20には当該IPアドレスがそのまま記録される。   As shown in FIG. 3, when a SYN-ACK packet is returned from the defense device 1 to a SYN packet that does not have an IP address in the normal communication management table 10, when the ACK packet does not come within a certain time, It can be determined that there is a possibility of attack, and the SYN packet is discarded without being transmitted to the server 2. Further, the IP address is recorded as it is in the attack possibility determination table 20.

ここで、ACKパケットが一定時間以内に返送されない場合に攻撃可能性ありと判断する根拠としては、例えば、SYN−ACKパケットを返送したIPアドレスが詐称されたものであれば、SYN−ACKパケットが到着した先のクライアントは、SYNパケットを送出した履歴がない。したがって、SYN−ACKパケットに対するACKパケットを返送することもしない。これにより、SYNパケットの送信元は、IPアドレスを詐称した悪意のクライアントであると判断できる。あるいは、SYN攻撃をしかけるクライアントであれば、はじめからACKパケットを返送することはせず、SYNパケットを送出し続ける。これにより、SYNパケットの送信元は、悪意のあるクライアントであると判断できる。   Here, as a basis for determining that there is a possibility of an attack when the ACK packet is not returned within a certain time, for example, if the IP address that returned the SYN-ACK packet is spoofed, the SYN-ACK packet is The destination client does not have a history of sending SYN packets. Therefore, an ACK packet for the SYN-ACK packet is not returned. Thereby, it can be determined that the transmission source of the SYN packet is a malicious client that spoofed the IP address. Alternatively, if the client is making a SYN attack, the ACK packet is not returned from the beginning, and the SYN packet is continuously transmitted. Thereby, it can be determined that the transmission source of the SYN packet is a malicious client.

図4に示すように、攻撃可能性判断テーブル20にIPアドレスがあるSYNパケットが防御装置1に到来した場合には即座に廃棄する。   As shown in FIG. 4, when a SYN packet having an IP address in the attack possibility determination table 20 arrives at the defense device 1, it is immediately discarded.

図5に示すように、正常通信管理テーブル10および攻撃可能性判断テーブル20は配置される。また、正常通信管理テーブル10および攻撃可能性判断テーブル20は、一定周期もしくはなんらかのトリガーを元にして、メンテナンスされる。メンテナンスは、テーブルの記録が一定時間以上更新されていなければ、その記録を削除する。これにより、テーブルの記録数の増加を回避することができると共に、悪意のクライアントが過去に正しい通信を行ったクライアントのIPアドレスを詐称した場合でも、一定時間以上更新されていなければ正常通信管理テーブル10からIPアドレスが削除されているため、防御装置1を素通りしてしまうことを回避することができる。   As shown in FIG. 5, the normal communication management table 10 and the attack possibility determination table 20 are arranged. In addition, the normal communication management table 10 and the attack possibility determination table 20 are maintained based on a certain period or some trigger. In the maintenance, if the record of the table has not been updated for a certain period of time, the record is deleted. As a result, an increase in the number of records in the table can be avoided, and even if a malicious client has misrepresented the IP address of a client that has made a correct communication in the past, the normal communication management table if it has not been updated for a certain period of time. Since the IP address is deleted from 10, it is possible to avoid passing through the defense device 1.

(第二実施例)
第二実施例を図6ないし図12を参照して説明する。図6は防御装置に到来したSYNパケットのIPアドレスが異常通信管理テーブルに記録されたIPアドレスと一致した場合の処理を示す図である。図7は防御装置に到来したSYNパケットのIPアドレスが正常通信管理テーブルに記録されたIPアドレスと一致した場合の処理を示す図である。図8は防御装置に到来したSYNパケットのIPアドレスが異常通信管理テーブルおよび正常通信管理テーブルの双方に記録されたIPアドレスと一致しない場合にクライアントから一定時間内にACKが返送された場合の処理を示す図である。図9は防御装置に到来したSYNパケットのIPアドレスが異常通信管理テーブルおよび正常通信管理テーブルの双方に記録されたIPアドレスと一致しない場合にクライアントから一定時間内にACKが返送されない場合の処理を示す図である。図10〜図12は第二実施例における正常通信管理テーブル、異常通信管理テーブル、攻撃可能性判断テーブルの配置を示す図である。 (Second embodiment)
A second embodiment will be described with reference to FIGS. FIG. 6 is a diagram showing processing when the IP address of the SYN packet that has arrived at the defense device matches the IP address recorded in the abnormal communication management table. FIG. 7 is a diagram showing processing when the IP address of the SYN packet that has arrived at the defense device matches the IP address recorded in the normal communication management table. FIG. 8 shows a process when an ACK is returned from a client within a predetermined time when the IP address of the SYN packet that has arrived at the defense device does not match the IP address recorded in both the abnormal communication management table and the normal communication management table. FIG. FIG. 9 shows the processing when the ACK is not returned from the client within a predetermined time when the IP address of the SYN packet that has arrived at the defense device does not match the IP address recorded in both the abnormal communication management table and the normal communication management table. FIG. 10 to 12 are diagrams showing the arrangement of a normal communication management table, an abnormal communication management table, and an attack possibility determination table in the second embodiment.

第二実施例は、ネットワーク4を介して相互に接続されるクライアント3とサーバ2との間に設けられ、クライアント3からサーバ2に向けて送出されたSYNパケットを監視する手段を備えたネットワーク攻撃の防御装置1である。   The second embodiment is a network attack that is provided between a client 3 and a server 2 connected to each other via a network 4 and includes means for monitoring a SYN packet sent from the client 3 to the server 2 This is a defense device 1 of FIG.

ここで、第二実施例の特徴とするところは、前記監視する手段は、正常通信を行ったクライアントのIPアドレスを記録する正常通信管理テーブル10と、異常通信を行ったクライアントのIPアドレスを記録する異常通信管理テーブル30と、正常通信管理テーブル10に記録がないIPアドレスのパケットが到来したときにはそのIPアドレスを記録する攻撃可能性判断テーブル20と、正常通信管理テーブル10に記録されたIPアドレスのパケットが到来したときには、そのまま当該パケットをサーバ2に向けて通過させる手段と、異常通信管理テーブル30に記録されたIPアドレスのパケットが到来したときには、当該パケットを廃棄する手段と、正常通信管理テーブル10および異常通信管理テーブル30に記録がないIPアドレスのパケットが到来したときには、当該パケットを一時自装置内に保留し、そのIPアドレスを攻撃可能性判断テーブル20に記録し、当該IPアドレス宛てにSYN−ACKパケットを返送する手段と、この返送する手段によるSYN−ACKパケットの返送から一定時間経過する内に当該返送先からのACKパケットが到来したときには、当該IPアドレスを正常通信管理テーブル10に記録すると共に攻撃可能性判断テーブル20に既に記録されている当該IPアドレスを削除し、自装置内に保留した前記パケットをサーバ2に転送する手段と、前記返送する手段によるSYN−ACKパケットの返送から一定時間経過する内に当該返送先からのACKパケットが到来しないときには、当該IPアドレスを異常通信管理テーブル30に記録すると共に自装置内に保留した前記パケットを廃棄する手段とを備えたところにある(請求項3)。   Here, the feature of the second embodiment is that the monitoring means records the normal communication management table 10 that records the IP address of the client that performed normal communication, and the IP address of the client that performed abnormal communication. Abnormal communication management table 30, an attack possibility determination table 20 for recording an IP address packet not recorded in the normal communication management table 10, and an IP address recorded in the normal communication management table 10. Means for passing the packet as it is toward the server 2, means for discarding the packet when an IP address recorded in the abnormal communication management table 30 arrives, and normal communication management IP addresses not recorded in table 10 and abnormal communication management table 30 When a reply packet arrives, the packet is temporarily held in its own device, its IP address is recorded in the attack possibility determination table 20, and a SYN-ACK packet is sent back to the IP address. When an ACK packet from the return destination arrives within a certain period of time after the return of the SYN-ACK packet by the means for performing the above, the IP address is recorded in the normal communication management table 10 and already recorded in the attack possibility determination table 20 The IP address is deleted, and the packet sent from the return destination is transferred within a predetermined time from the return of the SYN-ACK packet by the means for transferring the packet held in its own device to the server 2 and the return means. When the ACK packet does not arrive, the IP address is assigned to the abnormal communication management table 3 It is in place and means for discarding the packets held in its own device and records the (claim 3).

また、異常通信管理テーブル30に記録されたIPアドレスについては攻撃可能性判断テーブル20から削除する手段と、正常通信管理テーブル10のt1時間更新されていない記録を削除する手段と、異常通信管理テーブル30のt3時間更新されていない記録を削除する手段とを備え、
t1≦t3
である(請求項4)。 Further, the IP address recorded in the abnormal communication management table 30 is deleted from the attack possibility determination table 20, the means for deleting the record that has not been updated in the normal communication management table 10 for t1, and the abnormal communication management table. Means for deleting records that have not been updated for 30 t3 hours,
t1 ≦ t3
(Claim 4).

また、攻撃可能性判断テーブル20は、図10に示すように、正常通信管理テーブル10と異常通信管理テーブル20との間に設置するが、第一実施例と比較すると、攻撃可能性判断テーブル20は、一時的な記録だけを行えばよいので、その記憶容量は少なくて済む。そこで、その他の実施例として、図11に示すように、正常通信管理テーブル10の記憶領域の一部を攻撃可能性判断テーブル20に割当てたり、あるいは、図12に示すように、異常通信管理テーブル30の記憶領域の一部を攻撃可能性判断テーブル20に割当てることもできる(請求項5)。   Further, as shown in FIG. 10, the attack possibility determination table 20 is set between the normal communication management table 10 and the abnormal communication management table 20, but the attack possibility determination table 20 is compared with the first embodiment. Since only temporary recording needs to be performed, the storage capacity is small. Therefore, as another embodiment, a part of the storage area of the normal communication management table 10 is allocated to the attack possibility determination table 20 as shown in FIG. 11, or the abnormal communication management table is shown in FIG. A part of the 30 storage areas may be allocated to the attack possibility determination table 20 (claim 5).

以下では、第二実施例を詳細に説明する。   Hereinafter, the second embodiment will be described in detail.

第二実施例の防御装置1は、第一実施例の防御装置1の構成に、異常通信管理テーブル30を加えて持つことを特徴とする。   The defense device 1 of the second embodiment is characterized by having an abnormal communication management table 30 in addition to the configuration of the defense device 1 of the first embodiment.

図6に示すように、クライアント3からサーバ2宛てに送出されたSYNパケットを防御装置1が受け付けて、異常通信管理テーブル30にIPアドレスがあるならば、即座に攻撃であると判断し、パケットを廃棄する。   As shown in FIG. 6, when the defense device 1 accepts a SYN packet sent from the client 3 to the server 2 and there is an IP address in the abnormal communication management table 30, it is immediately determined that the attack has occurred, and the packet Discard.

図7に示すように、異常通信管理テーブル30にIPアドレスがなく、正常通信管理テーブル10にIPアドレスがあるならば、そのままSYNパケットをサーバ2に送信する。これにより、正常な通信は、そのまま通信が可能である。   As shown in FIG. 7, if there is no IP address in the abnormal communication management table 30 and there is an IP address in the normal communication management table 10, the SYN packet is transmitted to the server 2 as it is. Thus, normal communication can be performed as it is.

図8に示すように、異常通信管理テーブル30にIPアドレスがないが、正常通信管理テーブル10にもIPアドレスがないならば、攻撃可能性判断テーブル20に発信元IPアドレスを登録し、発信元IPアドレスに防御装置1からSYN−ACKパケットを返送する。   As shown in FIG. 8, if there is no IP address in the abnormal communication management table 30, but there is no IP address in the normal communication management table 10, the source IP address is registered in the attack possibility determination table 20, and the source A SYN-ACK packet is returned from the defense device 1 to the IP address.

ここで、一定時間以内にクライアント3からACKパケットがきた場合には、クライアント3は正常なクライアントであるとして攻撃可能性判断テーブル20から発信元IPアドレスを削除すると共に、正常通信管理テーブル10に発信元IPアドレスを登録し、SYNパケットをサーバ2に送信する。サーバ2からは改めて当該SYNパケットに対するSYN−ACKパケットが返送される。   Here, if an ACK packet is received from the client 3 within a certain time, the client 3 is regarded as a normal client, and the source IP address is deleted from the attack possibility determination table 20 and is transmitted to the normal communication management table 10. The original IP address is registered and a SYN packet is transmitted to the server 2. The server 2 returns a SYN-ACK packet for the SYN packet again.

図9に示すように、異常通信管理テーブル30にIPアドレスがないが、正常通信管理テーブル10にもIPアドレスがないならば、攻撃可能性判断テーブル20に発信元IPアドレスを登録し、発信元IPアドレスに防御装置1からSYN−ACKパケットを返送する。   As shown in FIG. 9, if there is no IP address in the abnormal communication management table 30, but there is no IP address in the normal communication management table 10, the source IP address is registered in the attack possibility determination table 20, and the source A SYN-ACK packet is returned from the defense device 1 to the IP address.

ここで、防御装置1からのSYN−ACKパケットに対してクライアント3からACKパケットが一定時間以内に来なかった場合には、第一実施例で説明したように、攻撃と判断でき、当該IPアドレスを異常通信管理テーブル30に登録する。なお、異常通信管理テーブル30に登録されたIPアドレスについては攻撃可能性判断テーブル20から削除する。   Here, when the ACK packet from the client 3 does not come within a certain time with respect to the SYN-ACK packet from the defense device 1, it can be determined as an attack as described in the first embodiment, and the IP address Is registered in the abnormal communication management table 30. The IP address registered in the abnormal communication management table 30 is deleted from the attack possibility determination table 20.

なお、第一実施例と同様に、正常通信管理テーブル10および異常通信管理テーブル30は、一定周期もしくはなんらかのトリガーを元にして、メンテナンスされる。メンテナンスは、テーブルの記録が一定時間以上更新されていなければ、その記録を削除する。これにより、テーブルの記録数の増加を回避することができると共に、悪意のクライアントが過去に正しい通信を行ったクライアントのIPアドレスを詐称した場合でも、一定時間以上更新されていなければ正常通信管理テーブル10からIPアドレスが削除されているため、防御装置1を素通りしてしまうことを回避することができる。   As in the first embodiment, the normal communication management table 10 and the abnormal communication management table 30 are maintained based on a certain period or some trigger. In the maintenance, if the record of the table has not been updated for a certain period of time, the record is deleted. As a result, an increase in the number of records in the table can be avoided, and even if a malicious client has misrepresented the IP address of a client that has made a correct communication in the past, the normal communication management table if it has not been updated for a certain period of time. Since the IP address is deleted from 10, it is possible to avoid passing through the defense device 1.

(第三実施例)
第三実施例を図13を参照して説明する。第三実施例は、第一および第二実施例とその動作は同じである。第三実施例では、防御装置の設置位置が第一および第二実施例とは異なり、ネットワーク4とクライアント3との間に設置されている。これにより、悪意のクライアント3から送出されるSYNパケットをネットワーク4の入り口で廃棄することができるため、ネットワーク4内を無効となるパケットが転送されることがなく、ネットワークリソースを有効に利用することができる。一方、サーバ2の個数と比較するとクライアント3の個数の方が一般的に多いので、防御装置1の設置数は第一および第二実施例と比較すると多くなる。 (Third embodiment)
A third embodiment will be described with reference to FIG. The operation of the third embodiment is the same as that of the first and second embodiments. In the third embodiment, unlike the first and second embodiments, the installation position of the defense device is installed between the network 4 and the client 3. As a result, the SYN packet sent from the malicious client 3 can be discarded at the entrance of the network 4, so that invalid packets are not transferred through the network 4, and network resources are used effectively. Can do. On the other hand, since the number of clients 3 is generally larger than the number of servers 2, the number of defense devices 1 installed is larger than that of the first and second embodiments.

(第四実施例)
本発明は、汎用の情報処理装置にインストールすることにより、その情報処理装置に本発明の防御装置に相応する機能を実現させるプログラムとして実現することができる(請求項6〜10)。このプログラムは、記録媒体に記録されて情報処理装置にインストールされ(請求項11)、あるいは通信回線を介して情報処理装置にインストールされることにより当該情報処理装置に、第一〜第三実施例の防御装置1における各手段および各テーブルにそれぞれ相応する機能を実現させることができる。 (Fourth embodiment)
The present invention can be implemented as a program that, when installed in a general-purpose information processing device, causes the information processing device to realize a function corresponding to the defense device of the present invention (claims 6 to 10). The program is recorded in a recording medium and installed in the information processing apparatus (claim 11), or installed in the information processing apparatus via a communication line, so that the information processing apparatus is provided with the first to third embodiments. The function corresponding to each means and each table in the protective device 1 can be realized.

本発明によれば、正当なクライアントに対するサービス品質を劣化させず、攻撃パケットを廃棄することができるため、クライアントに対するサービス品質を向上させることができる。   According to the present invention, attack packets can be discarded without degrading the service quality for a legitimate client, so that the service quality for the client can be improved.

防御装置に到来したSYNパケットのIPアドレスが正常通信管理テーブルに記録されていた場合の処理を示す図。The figure which shows a process in case the IP address of the SYN packet which arrived at the defense apparatus is recorded on the normal communication management table. 防御装置に到来したSYNパケットのIPアドレスが正常通信管理テーブルに記録されていない場合の処理を示す図。The figure which shows a process in case the IP address of the SYN packet which arrived at the defense apparatus is not recorded on the normal communication management table. 防御装置に到来したSYNパケットのIPアドレスのクライアントが攻撃をしかけるクライアントである場合の処理を示す図。The figure which shows a process in case the client of the IP address of the SYN packet which arrived at the defense apparatus is a client which attacks. 防御装置に到来したSYNパケットのIPアドレスが攻撃可能性判断テーブルに記録されている場合の処理を示す図。The figure which shows a process in case the IP address of the SYN packet which arrived at the defense apparatus is recorded on the attack possibility judgment table. 正常通信管理テーブルと攻撃可能性判断テーブルとの配置関係を示す図。The figure which shows the arrangement | positioning relationship between a normal communication management table and an attack possibility judgment table. 防御装置に到来したSYNパケットのIPアドレスが異常通信管理テーブルに記録されたIPアドレスと一致した場合の処理を示す図。The figure which shows a process when the IP address of the SYN packet which arrived at the defense apparatus corresponds with the IP address recorded on the abnormal communication management table. 防御装置に到来したSYNパケットのIPアドレスが正常通信管理テーブルに記録されたIPアドレスと一致した場合の処理を示す図。The figure which shows a process when the IP address of the SYN packet which arrived at the defense apparatus corresponds with the IP address recorded on the normal communication management table. 防御装置に到来したSYNパケットのIPアドレスが異常通信管理テーブルおよび正常通信管理テーブルの双方に記録されたIPアドレスと一致しない場合にクライアントから一定時間内にACKが返送された場合の処理を示す図。The figure which shows a process when ACK is returned from a client within a fixed time, when the IP address of the SYN packet which arrived at the defense apparatus does not correspond with the IP address recorded on both the abnormal communication management table and the normal communication management table. . 防御装置に到来したSYNパケットのIPアドレスが異常通信管理テーブルおよび正常通信管理テーブルの双方に記録されたIPアドレスと一致しない場合にクライアントから一定時間内にACKが返送されない場合の処理を示す図。The figure which shows a process when ACK is not returned from a client within a fixed time, when the IP address of the SYN packet which arrived at the defense apparatus does not correspond with the IP address recorded on both the abnormal communication management table and the normal communication management table. 第二実施例における正常通信管理テーブル、異常通信管理テーブル、攻撃可能性判断テーブルの配置を示す図。The figure which shows arrangement | positioning of the normal communication management table in 2nd Example, an abnormal communication management table, and an attack possibility judgment table. 第二実施例における正常通信管理テーブル、異常通信管理テーブル、攻撃可能性判断テーブルの配置を示す図。The figure which shows arrangement | positioning of the normal communication management table in 2nd Example, an abnormal communication management table, and an attack possibility judgment table. 第二実施例における正常通信管理テーブル、異常通信管理テーブル、攻撃可能性判断テーブルの配置を示す図。The figure which shows arrangement | positioning of the normal communication management table in 2nd Example, an abnormal communication management table, and an attack possibility judgment table. 第三実施例の防御装置配置位置を示す図。The figure which shows the defense apparatus arrangement position of a 3rd Example. 正常なTCPの通信手順を説明するための図。The figure for demonstrating the communication procedure of normal TCP. SYN攻撃と呼ばれるサーバのサービスを不能にさせる攻撃を説明するための図。The figure for demonstrating the attack called the SYN attack which makes the service of the server impossible. SYN攻撃に対する従来の防御装置を説明するための図。The figure for demonstrating the conventional defense apparatus with respect to a SYN attack.

符号の説明Explanation of symbols

1、11 防御装置
2 サーバ
3 クライアント
4 ネットワーク
10 正常通信管理テーブル
20 攻撃可能性判断テーブル
30 異常通信管理テーブル DESCRIPTION OF SYMBOLS 1, 11 Defense apparatus 2 Server 3 Client 4 Network 10 Normal communication management table 20 Attack possibility judgment table 30 Abnormal communication management table

Claims (11)

ネットワークを介して相互に接続されるクライアントとサーバとの間に設けられ、クライアントからサーバに向けて送出されたパケットを監視する手段を備えたネットワーク攻撃の防御装置において、
前記監視する手段は、
正常通信を行ったクライアントのIPアドレスを記録する正常通信管理テーブルと、
この正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときにはそのIPアドレスを記録する攻撃可能性判断テーブルと、
前記正常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、そのまま当該パケットを前記サーバに向けて通過させる手段と、
前記正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときには、当該パケットを一時自装置内に保留し、そのIPアドレスを前記攻撃可能性判断テーブルに記録し、当該IPアドレス宛てに受信確認パケットを返送する手段と、
この返送する手段による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来したときには、当該IPアドレスを前記正常通信管理テーブルに記録すると共に前記攻撃可能性判断テーブルに既に記録されている当該IPアドレスを削除し、自装置内に保留した前記パケットを前記サーバに転送する手段と、
前記攻撃可能性判断テーブルにIPアドレスが記録されているパケットが到来したときには当該パケットを廃棄する手段と
を備えたことを特徴とする防御装置。 In a network attack defense apparatus provided between a client and a server connected to each other via a network and provided with a means for monitoring packets sent from the client to the server,
The means for monitoring is
A normal communication management table that records the IP address of the client that performed normal communication;
An attack possibility determination table that records the IP address when a packet of an IP address that is not recorded in the normal communication management table arrives;
When a packet of an IP address recorded in the normal communication management table arrives, means for passing the packet as it is toward the server;
When a packet with an IP address not recorded in the normal communication management table arrives, the packet is temporarily held in its own device, the IP address is recorded in the attack possibility determination table, and reception is confirmed for the IP address. A means of returning packets;
When a reception confirmation packet arrives from the return destination within a predetermined time from the return of the reception confirmation packet by the returning means, the IP address is recorded in the normal communication management table and also in the attack possibility determination table. Means for deleting the IP address already recorded and transferring the packet held in its own device to the server;
And a means for discarding the packet when an IP address recorded in the attack possibility determination table arrives. 前記正常通信管理テーブルのt1時間更新されていない記録を削除する手段と、
前記攻撃可能性判断テーブルのt2時間更新されていない記録を削除する手段と
を備え、
t1≦t2
である請求項1記載の防御装置。 Means for deleting a record that has not been updated for t1 time in the normal communication management table;
Means for deleting a record that has not been updated for t2 time in the attack possibility determination table;
t1 ≦ t2
The defense device according to claim 1. ネットワークを介して相互に接続されるクライアントとサーバとの間に設けられ、クライアントからサーバに向けて送出されたパケットを監視する手段を備えたネットワーク攻撃の防御装置において、
前記監視する手段は、
正常通信を行ったクライアントのIPアドレスを記録する正常通信管理テーブルと、
異常通信を行ったクライアントのIPアドレスを記録する異常通信管理テーブルと、
前記正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときにはそのIPアドレスを記録する攻撃可能性判断テーブルと、
前記正常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、そのまま当該パケットを前記サーバに向けて通過させる手段と、
前記異常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、当該パケットを廃棄する手段と、
前記正常通信管理テーブルおよび前記異常通信管理テーブルに記録がないIPアドレスのパケットが到来したときには、当該パケットを一時自装置内に保留し、そのIPアドレスを前記攻撃可能性判断テーブルに記録し、当該IPアドレス宛てに受信確認パケットを返送する手段と、
この返送する手段による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来したときには、当該IPアドレスを正常通信管理テーブルに記録すると共に前記攻撃可能性判断テーブルに既に記録されている当該IPアドレスを削除し、自装置内に保留した前記パケットを前記サーバに転送する手段と、
前記返送する手段による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来しないときには、当該IPアドレスを前記異常通信管理テーブルに記録すると共に自装置内に保留した前記パケットを廃棄する手段と
を備えたことを特徴とする防御装置。 In a network attack defense apparatus provided between a client and a server connected to each other via a network and provided with a means for monitoring packets sent from the client to the server,
The means for monitoring is
A normal communication management table that records the IP address of the client that performed normal communication;
An abnormal communication management table that records the IP address of the client that performed the abnormal communication;
An attack possibility determination table that records an IP address when a packet of an IP address that is not recorded in the normal communication management table arrives;
When a packet of an IP address recorded in the normal communication management table arrives, means for passing the packet as it is toward the server;
Means for discarding the packet of the IP address recorded in the abnormal communication management table;
When a packet of an IP address that is not recorded in the normal communication management table and the abnormal communication management table arrives, temporarily hold the packet in its own device, record the IP address in the attack possibility determination table, Means for returning an acknowledgment packet to the IP address;
When a reception confirmation packet arrives from the return destination within a predetermined time from the return of the reception confirmation packet by the return means, the IP address is recorded in the normal communication management table and already in the attack possibility determination table. Means for deleting the recorded IP address and transferring the packet held in its own device to the server;
When the reception confirmation packet from the return destination does not arrive within a predetermined time from the return of the reception confirmation packet by the returning means, the IP address is recorded in the abnormal communication management table and held in the own apparatus. And a means for discarding the packet. 前記異常通信管理テーブルに記録されたIPアドレスについては前記攻撃可能性判断テーブルから削除する手段と、
前記正常通信管理テーブルのt1時間更新されていない記録を削除する手段と、
前記異常通信管理テーブルのt3時間更新されていない記録を削除する手段と
を備え、
t1≦t3
である請求項3記載の防御装置。 Means for deleting the IP address recorded in the abnormal communication management table from the attack possibility determination table;
Means for deleting a record that has not been updated for t1 time in the normal communication management table;
Means for deleting a record that has not been updated for t3 time in the abnormal communication management table;
t1 ≦ t3
The defense device according to claim 3. 前記攻撃可能性判断テーブルは、前記正常通信管理テーブルもしくは前記異常通信管理テーブルのいずれかに含まれる請求項3記載の防御装置。   The defense apparatus according to claim 3, wherein the attack possibility determination table is included in either the normal communication management table or the abnormal communication management table. 情報処理装置にインストールすることにより、その情報処理装置に、
ネットワークを介して相互に接続されるクライアントとサーバとの間に設けられ、クライアントからサーバに向けて送出されたパケットを監視する機能を備えたネットワーク攻撃の防御装置に相応する機能を実現させるプログラムにおいて、
前記監視する機能として、
正常通信を行ったクライアントのIPアドレスを記録する正常通信管理テーブルに相応する機能と、
この正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときにはそのIPアドレスを記録する攻撃可能性判断テーブルに相応する機能と、
前記正常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、そのまま当該パケットを前記サーバに向けて通過させる機能と、
前記正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときには、当該パケットを一時自装置内に保留し、そのIPアドレスを前記攻撃可能性判断テーブルに記録し、当該IPアドレス宛てに受信確認パケットを返送する機能と、
この返送する機能による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来したときには、当該IPアドレスを前記正常通信管理テーブルに記録すると共に前記攻撃可能性判断テーブルに既に記録されている当該IPアドレスを削除し、自装置内に保留した前記パケットを前記サーバに転送する機能と、
前記攻撃可能性判断テーブルにIPアドレスが記録されているパケットが到来したときには当該パケットを廃棄する機能と
を実現させることを特徴とするプログラム。 By installing on an information processing device,
In a program that is provided between a client and a server that are connected to each other via a network, and that realizes a function corresponding to a network attack protection device having a function of monitoring a packet sent from the client to the server ,
As the monitoring function,
A function corresponding to the normal communication management table that records the IP address of the client that has performed normal communication;
A function corresponding to an attack possibility determination table for recording an IP address packet that is not recorded in the normal communication management table;
When the packet of the IP address recorded in the normal communication management table arrives, the function of passing the packet as it is toward the server;
When a packet with an IP address not recorded in the normal communication management table arrives, the packet is temporarily held in its own device, the IP address is recorded in the attack possibility determination table, and reception is confirmed for the IP address. The ability to send packets back,
When a reception confirmation packet arrives from the return destination within a predetermined time from the return of the reception confirmation packet by the returning function, the IP address is recorded in the normal communication management table and also in the attack possibility determination table. A function of deleting the IP address already recorded and transferring the packet held in its own device to the server;
A program for realizing a function of discarding a packet having an IP address recorded in the attack possibility determination table when the packet arrives. 前記正常通信管理テーブルのt1時間更新されていない記録を削除する機能と、
前記攻撃可能性判断テーブルのt2時間更新されていない記録を削除する機能と
を実現させ、
t1≦t2
である請求項6記載のプログラム。 A function of deleting records that have not been updated for t1 time in the normal communication management table;
A function of deleting a record that has not been updated for t2 time in the attack possibility determination table;
t1 ≦ t2
The program according to claim 6. 情報処理装置にインストールすることにより、その情報処理装置に、
ネットワークを介して相互に接続されるクライアントとサーバとの間に設けられ、クライアントからサーバに向けて送出されたパケットを監視する機能を備えたネットワーク攻撃の防御装置に相応する機能を実現させるプログラムにおいて、
前記監視する機能として、
正常通信を行ったクライアントのIPアドレスを記録する正常通信管理テーブルに相応する機能と、
異常通信を行ったクライアントのIPアドレスを記録する異常通信管理テーブルに相応する機能と、
前記正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときにはそのIPアドレスを記録する攻撃可能性判断テーブルに相応する機能と、
前記正常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、そのまま当該パケットを前記サーバに向けて通過させる機能と、
前記異常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、当該パケットを廃棄する機能と、
前記正常通信管理テーブルおよび前記異常通信管理テーブルに記録がないIPアドレスのパケットが到来したときには、当該パケットを一時自装置内に保留し、そのIPアドレスを前記攻撃可能性判断テーブルに記録し、当該IPアドレス宛てに受信確認パケットを返送する機能と、
この返送する機能による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来したときには、当該IPアドレスを正常通信管理テーブルに記録すると共に前記攻撃可能性判断テーブルに既に記録されている当該IPアドレスを削除し、自装置内に保留した前記パケットを前記サーバに転送する機能と、
前記返送する機能による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来しないときには、当該IPアドレスを前記異常通信管理テーブルに記録すると共に自装置内に保留した前記パケットを廃棄する機能と
を実現させることを特徴とするプログラム。 By installing on an information processing device,
In a program that is provided between a client and a server that are connected to each other via a network, and that realizes a function corresponding to a network attack protection device having a function of monitoring a packet sent from the client to the server ,
As the monitoring function,
A function corresponding to the normal communication management table that records the IP address of the client that has performed normal communication;
A function corresponding to the abnormal communication management table that records the IP address of the client that performed the abnormal communication;
A function corresponding to an attack possibility determination table for recording an IP address packet that is not recorded in the normal communication management table;
When the packet of the IP address recorded in the normal communication management table arrives, the function of passing the packet as it is toward the server;
A function of discarding a packet of an IP address recorded in the abnormal communication management table;
When a packet of an IP address that is not recorded in the normal communication management table and the abnormal communication management table arrives, temporarily hold the packet in its own device, record the IP address in the attack possibility determination table, A function of returning a reception confirmation packet to the IP address;
When a reception confirmation packet arrives from the return destination within a predetermined time from the return of the reception confirmation packet by the returning function, the IP address is recorded in the normal communication management table and already in the attack possibility determination table. A function of deleting the recorded IP address and transferring the packet held in its own device to the server;
When the reception confirmation packet from the return destination does not arrive within a predetermined time from the return of the reception confirmation packet by the returning function, the IP address is recorded in the abnormal communication management table and held in the own device. A program characterized by realizing a packet discard function. 前記異常通信管理テーブルに記録されたIPアドレスについては前記攻撃可能性判断テーブルから削除する機能と、
前記正常通信管理テーブルのt1時間更新されていない記録を削除する機能と、
前記異常通信管理テーブルのt3時間更新されていない記録を削除する機能と
を実現させ
t1≦t3
である請求項8記載のプログラム。 A function of deleting the IP address recorded in the abnormal communication management table from the attack possibility determination table;
A function of deleting records that have not been updated for t1 time in the normal communication management table;
A function of deleting a record that has not been updated for t3 time in the abnormal communication management table; and t1 ≦ t3
The program according to claim 8. 前記攻撃可能性判断テーブルは、前記正常通信管理テーブルもしくは前記異常通信管理テーブルのいずれかに含まれる請求項8記載のプログラム。   9. The program according to claim 8, wherein the attack possibility determination table is included in either the normal communication management table or the abnormal communication management table. 請求項6ないし10のいずれかに記載のプログラムが記録された前記情報処理装置読み取り可能な記録媒体。   11. A recording medium readable by the information processing apparatus, on which the program according to claim 6 is recorded.
JP2003359379A 2003-10-20 2003-10-20 Defense device of network attack Pending JP2005124055A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003359379A JP2005124055A (en) 2003-10-20 2003-10-20 Defense device of network attack

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003359379A JP2005124055A (en) 2003-10-20 2003-10-20 Defense device of network attack

Publications (1)

Publication Number Publication Date
JP2005124055A true JP2005124055A (en) 2005-05-12

Family

ID=34615628

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003359379A Pending JP2005124055A (en) 2003-10-20 2003-10-20 Defense device of network attack

Country Status (1)

Country Link
JP (1) JP2005124055A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013183458A (en) * 2012-02-29 2013-09-12 Pantech Co Ltd Mobile communication terminal to detect network attack and detection method thereof

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013183458A (en) * 2012-02-29 2013-09-12 Pantech Co Ltd Mobile communication terminal to detect network attack and detection method thereof

Similar Documents

Publication Publication Date Title
US8370937B2 (en) Handling of DDoS attacks from NAT or proxy devices
US8175096B2 (en) Device for protection against illegal communications and network system thereof
Handley et al. Internet denial-of-service considerations
CN101175013B (en) Refused service attack protection method, network system and proxy server
US6816910B1 (en) Method and apparatus for limiting network connection resources
EP1433076B1 (en) Protecting against distributed denial of service attacks
US7818795B1 (en) Per-port protection against denial-of-service and distributed denial-of-service attacks
US20040236966A1 (en) Queuing methods for mitigation of packet spoofing
JP4768020B2 (en) Method of defending against DoS attack by target victim self-identification and control in IP network
US7404210B2 (en) Method and apparatus for defending against distributed denial of service attacks on TCP servers by TCP stateless hogs
Kavisankar et al. A mitigation model for TCP SYN flooding with IP spoofing
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
US11616796B2 (en) System and method to protect resource allocation in stateful connection managers
JP4602158B2 (en) Server equipment protection system
WO2019096104A1 (en) Attack prevention
CN112714102A (en) SYN Flood attack defense method under multi-core heterogeneous platform
Kavisankar et al. CNoA: Challenging Number Approach for uncovering TCP SYN flooding using SYN spoofing attack
JP2005124055A (en) Defense device of network attack
Hussain et al. A lightweight countermeasure to cope with flooding attacks against session initiation protocol
EP2169898A1 (en) Method of and telecommunication apparatus for mitigating Distributed Denial-of-Service attacks in SIP packet networks
KR101088868B1 (en) Method of processing arp packet in network switch
JP3828523B2 (en) Unauthorized access protection device and program
Kavisankar et al. T-RAP:(TCP reply acknowledgement packet) a resilient filtering model for DDoS attack with spoofed IP address
JP5582499B2 (en) Network monitoring method, system, apparatus and program
Sairam et al. Defeating reflector based denial-of-service attacks using single packet filters

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20051028

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20051108

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20060307